A DeFi de empréstimos na rede Sui, o protocolo Scallop, publicou um aviso de incidente de segurança na conta oficial do X (@Scallop_io), confirmando que a plataforma foi atacada. A Scallop afirma que a equipe encontrou um contrato lateral (side contract) relacionado a um pool de recompensas de sSUI que estava sendo explorado, causando uma perda de cerca de 150 mil SUI. A Scallop enfatiza que o contrato afetado foi congelado, o contrato central ainda está seguro e apenas o pool de recompensas de sSUI foi atingido.
Nas atualizações subsequentes, a Scallop explicou ainda: “O contrato central foi descongelado e todas as operações foram restauradas. Este problema não tem relação com o protocolo central, limitando-se a um contrato de recompensas desativado. Os depósitos dos usuários não foram afetados, todos os fundos estão seguros e as funcionalidades de saque e depósito já foram restauradas ao normal.” A equipe se comprometeu a compartilhar mais detalhes e a continuar monitorando e reforçando a segurança do protocolo.
Ex-membro do núcleo da NEAR Vadim: o problema está em um pacote antigo de 17 meses
Em relação a este incidente, o ex-desenvolvedor principal da NEAR Vadim (@zacodil) publicou uma análise técnica aprofundada no X, revelando detalhes da vulnerabilidade. Vadim apontou que os atacantes sabem exatamente qual pacote desativado chamar. “Não é código atualmente em execução, nem um caminho de SDK, e sim uma versão antiga V2 de novembro de 2023, que ficou meses sem ser usada. Ou isso exige engenharia reversa aprofundada, ou alguém já sabia exatamente onde procurar. Esta vulnerabilidade ficou latente por 17 meses.
Vadim explica que o spool rastreia um índice que cresce à medida que as recompensas são alocadas. Quando cada conta de usuário faz o staking, deveria registrar o last_index no momento, de modo que a fórmula do cálculo dos pontos ganhos seja: quantidade apostada × (current_index − last_index); os usuários só conseguem ganhar recompensas a partir do momento em que entram.
Mas no pacote V2 desativado, ao criar uma nova spool_account, o last_index não é inicializado, permanecendo como 0. Portanto, quando o update_points é executado, o resultado do cálculo vira: pontos = quantidade apostada × (current_index − 0) = quantidade apostada × índice histórico completo. Os usuários são creditados com todas as recompensas acumuladas desde a criação do spool em agosto de 2023.
Vadim fornece dados específicos: o índice do spool cresceu para 1,19 bilhão em 20 meses. O atacante fez staking de 136 mil sSUI e, instantaneamente, foi creditado com 162 trilhões de pontos. Como o pool de recompensas adota uma taxa de conversão 1:1 (numerador e denominador ambos são 1), 162 trilhões de pontos foram convertidos diretamente em recompensas no valor de 162 mil SUI. Porém, havia apenas 150 mil SUI no pool de recompensas, então ele foi completamente drenado.
Todos os incidentes de segurança na cadeia ocorreram em sistemas periféricos
Vadim explica que, no uso normal, usuários comuns usam o SDK para o pacote novo, e o pacote novo já corrigiu o problema de sincronização do last_index. O motivo de o pacote V2 antigo ainda permanecer na cadeia é a imutabilidade dos pacotes Sui. — uma vez publicado, cada versão antiga poderá ser chamada para sempre. Os objetos compartilhados Spool e RewardsPool aceitam chamadas de qualquer versão, e o atacante contorna o SDK, atingindo diretamente o caminho do código da versão antiga.
Vadim classificou isso como “uma vulnerabilidade do tipo pacote desatualizado no Sui”. Ele aponta que a forma correta de corrigir exige adicionar um campo de versão nos objetos compartilhados e incluir uma verificação em cada função: assert!(version == CURRENT_VERSION). Sem esse mecanismo, cada versão de pacote publicada no passado continuará sendo uma superfície de ataque viva para sempre.
Vadim também destaca que, neste mês, a maioria dos incidentes de ataque não ocorreu no código do protocolo central, mas sim em sistemas periféricos:
KelpDAO:infraestrutura de RPC
Litecoin:camada de privacidade MWEB
Aethir:controle de acesso do adaptador periférico
Scallop:o pacote antigo esquecido
Este artigo sobre o hack no protocolo de empréstimos DeFi na rede Sui Scallop, que teve 150 mil SUI roubados devido a uma vulnerabilidade em contrato antigo, apareceu primeiro em Notícias da Cadeia ABMedia.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
